Welche Fragen helfen bei der Vendor-Registrierung, um festzustellen, ob der Vendor als Auftragsverarbeiter agiert?

Ja, bei der Durchführung eines Gewinnspiels unter neuen Newsletter-Abonnenten gibt es datenschutzrechtliche Aspekte zu beachten. Grundsätzlich ist es zulässig, ein Gewinnspiel mit der Anmeldung zu einem Newsletter zu verknüpfen, solange die Vorgaben der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Die wichtigsten Punkte sind: 1. **Transparenz und Information**: Die Teilnehmer müssen klar und verständlich darüber informiert werden, welche Daten zu welchem Zweck erhoben und verarbeitet werden. Dies sollte in einer Datenschutzerklärung geschehen. 2. **Einwilligung**: Für den Versand des Newsletters ist eine ausdrückliche, informierte Einwilligung der Teilnehmer erforderlich (z. B. durch ein Double-Opt-In-Verfahren). 3. **Keine Kopplung von Einwilligungen**: Die Teilnahme am Gewinnspiel darf nicht an die Einwilligung zu weiteren, nicht erforderlichen Datenverarbeitungen gekoppelt werden. Die Einwilligung zum Newsletter muss freiwillig erfolgen und darf nicht Bedingung für die Teilnahme am Gewinnspiel sein, wenn der Newsletter nicht zwingend für die Teilnahme erforderlich ist. 4. **Zweckbindung**: Die erhobenen Daten dürfen nur für die angegebenen Zwecke (z. B. Versand des Newsletters, Durchführung des Gewinnspiels) verwendet werden. 5. **Löschung der Daten**: Nach Abschluss des Gewinnspiels und ggf. nach Abmeldung vom Newsletter müssen die Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. **Fazit:** Ein Gewinnspiel unter neuen Newsletter-Abonnenten ist datenschutzrechtlich möglich, wenn die genannten Vorgaben eingehalten werden. Es empfiehlt sich, die Teilnahmebedingungen und die Datenschutzerklärung entsprechend anzupassen und transparent zu kommunizieren. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/). Hinweis: Dies ist keine Rechtsberatung, sondern eine allgemeine Information. Im Zweifel sollte ein Datenschutzexperte oder Rechtsanwalt konsultiert werden.

Im Kontext Datenschutz steht „TOM“ für **Technische und Organisatorische Maßnahmen**. Diese Maßnahmen sind im Rahmen der Datenschutz-Grundverordnung (DSGVO) erforderlich, um personenbezogene Daten angemessen zu schützen. **Technische Maßnahmen** betreffen die IT-Sicherheit, z. B. Verschlüsselung, Zugangskontrollen oder Firewalls. **Organisatorische Maßnahmen** beziehen sich auf interne Prozesse, wie Schulungen, Richtlinien oder das Berechtigungskonzept. Ziel der TOM ist es, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten und Risiken wie unbefugten Zugriff, Verlust oder Manipulation zu minimieren. Unternehmen und Organisationen müssen diese Maßnahmen dokumentieren und regelmäßig überprüfen.

Ob eine dauerhafte Aufzeichnung von CCTV-Kameras in einem Unternehmen von Mitternacht bis zum Morgen zulässig ist, hängt maßgeblich von den Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG) ab. **Grundsätze:** - Die Videoüberwachung ist grundsätzlich nur zulässig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und keine überwiegenden schutzwürdigen Interessen der betroffenen Personen entgegenstehen (Art. 6 Abs. 1 lit. f DSGVO). - Die Aufzeichnung darf nicht „anlasslos“ und „flächendeckend“ erfolgen, sondern muss verhältnismäßig sein. - Es muss ein konkreter Zweck für die Überwachung und Aufzeichnung bestehen (z. B. Schutz vor Einbruch, Diebstahl, Vandalismus). **Dauerhafte Aufzeichnung in der Nacht:** - Eine dauerhafte Aufzeichnung außerhalb der Geschäftszeiten (z. B. von Mitternacht bis zum Morgen) kann unter Umständen zulässig sein, wenn in dieser Zeit ein erhöhtes Risiko für Straftaten besteht (z. B. Einbruchgefahr). - Die Interessenabwägung fällt in der Nacht oft zugunsten des Unternehmens aus, da sich in der Regel keine Mitarbeiter oder Kunden im überwachten Bereich aufhalten und somit weniger Persönlichkeitsrechte betroffen sind. - Dennoch muss die Überwachung auf das notwendige Maß beschränkt bleiben (z. B. keine Überwachung von Pausenräumen, Toiletten, etc.). **Weitere Anforderungen:** - Betroffene Personen müssen durch geeignete Hinweisschilder auf die Videoüberwachung hingewiesen werden. - Die Aufnahmen dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist (meist wenige Tage). - Es muss ein Verzeichnis von Verarbeitungstätigkeiten geführt werden. - Die Aufnahmen müssen vor unbefugtem Zugriff geschützt werden. **Fazit:** Eine dauerhafte Aufzeichnung von Mitternacht bis zum Morgen kann zulässig sein, wenn sie auf ein berechtigtes Interesse gestützt wird, verhältnismäßig ist und die datenschutzrechtlichen Vorgaben eingehalten werden. Es empfiehlt sich, die geplante Maßnahme vorab mit dem Datenschutzbeauftragten abzustimmen und eine Datenschutz-Folgenabschätzung durchzuführen. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2019_10_17_Orientierungshilfe_Video%C3%BCberwachung.pdf) oder beim [BfDI](https://www.bfdi.bund.de/DE/Themen/Technologischer-Datenschutz/Videoueberwachung/videoueberwachung_node.html).

Background Screenings – also Überprüfungen von Bewerbern oder Mitarbeitern auf bestimmte persönliche oder berufliche Informationen – sind in Deutschland grundsätzlich zulässig, unterliegen jedoch strengen datenschutzrechtlichen Vorgaben. Die wichtigsten rechtlichen Grundlagen sind: - **Datenschutz-Grundverordnung (DSGVO)**: Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage besteht (z.B. Einwilligung, berechtigtes Interesse des Arbeitgebers). - **Bundesdatenschutzgesetz (BDSG)**: Ergänzt die DSGVO und regelt speziellere Fragen, etwa im Beschäftigungskontext (§ 26 BDSG). **Wichtige Voraussetzungen für die Zulässigkeit:** 1. **Erforderlichkeit**: Es dürfen nur solche Daten erhoben werden, die für die zu besetzende Stelle relevant und erforderlich sind. Eine pauschale oder umfassende Überprüfung ist unzulässig. 2. **Transparenz**: Die betroffene Person muss über Art, Umfang und Zweck der Datenverarbeitung informiert werden. 3. **Einwilligung**: Oft ist eine ausdrückliche, freiwillige und informierte Einwilligung des Bewerbers erforderlich. 4. **Verhältnismäßigkeit**: Die Maßnahmen dürfen nicht über das Ziel hinausschießen. Beispielsweise ist eine Bonitätsprüfung nur bei Positionen mit Zahlungsverkehr oder Vermögensverantwortung zulässig. 5. **Keine heimlichen Recherchen**: Das Ausspähen von Social-Media-Profilen oder das Einholen von Informationen ohne Wissen des Betroffenen ist in der Regel unzulässig. **Fazit:** Background Screenings sind in Deutschland nur unter strikter Beachtung der datenschutzrechtlichen Vorgaben erlaubt. Arbeitgeber sollten den Grundsatz der Erforderlichkeit und Verhältnismäßigkeit beachten und die Einwilligung der betroffenen Person einholen. Weitere Informationen findest du z.B. beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/DE/Home/home_node.html).

CV Parsing, also das automatisierte Auslesen und Verarbeiten von Lebensläufen (Curricula Vitae), ist grundsätzlich datenschutzrechtlich zulässig – allerdings nur unter bestimmten Voraussetzungen. In Deutschland und der EU gilt hierfür insbesondere die Datenschutz-Grundverordnung (DSGVO). Wichtige Punkte zur Zulässigkeit: 1. **Rechtsgrundlage:** Die Verarbeitung personenbezogener Daten im Rahmen des Bewerbungsprozesses ist in der Regel nach Art. 6 Abs. 1 lit. b DSGVO zulässig, da sie zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Für weitergehende Analysen oder die Speicherung für spätere Bewerbungsverfahren ist ggf. eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) notwendig. 2. **Transparenz und Information:** Bewerber müssen gemäß Art. 13 DSGVO darüber informiert werden, welche Daten zu welchem Zweck verarbeitet werden, wie lange sie gespeichert werden und welche Rechte sie haben. 3. **Datenminimierung:** Es dürfen nur die Daten verarbeitet werden, die für den Bewerbungsprozess erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO). 4. **Sicherheit:** Die Daten müssen angemessen geschützt werden (Art. 32 DSGVO). 5. **Weitergabe an Dritte:** Eine Weitergabe an Dritte (z.B. externe Dienstleister für CV Parsing) ist nur zulässig, wenn ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht. 6. **Besondere Kategorien personenbezogener Daten:** Angaben zu Gesundheit, Religion oder Gewerkschaftszugehörigkeit dürfen nur unter strengen Voraussetzungen verarbeitet werden (Art. 9 DSGVO). **Fazit:** CV Parsing ist datenschutzrechtlich zulässig, wenn die genannten Anforderungen eingehalten werden. Unternehmen sollten ihre Prozesse regelmäßig überprüfen und dokumentieren, um die Einhaltung der DSGVO sicherzustellen. Weitere Informationen: - [Datenschutz-Grundverordnung (DSGVO)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) – Bewerbungsverfahren](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Arbeitswelt/Bewerbungsverfahren/bewerbungsverfahren-node.html)

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

FamilyWall und WhatsApp unterscheiden sich deutlich in ihren Ansätzen zum Datenschutz, da sie unterschiedliche Zielgruppen und Funktionen haben. Hier ein Vergleich der wichtigsten Datenschutzaspekte beider Dienste: **FamilyWall:** - FamilyWall ist eine App für Familienorganisation (Kalender, Aufgaben, Fotos, Standortfreigabe). - Die Daten werden laut Anbieter auf Servern in der EU gespeichert ([Quelle](https://familywall.com/privacy-policy/)). - FamilyWall gibt an, personenbezogene Daten nicht ohne Zustimmung an Dritte weiterzugeben. - Die App bietet keine Ende-zu-Ende-Verschlüsselung für Nachrichten oder geteilte Inhalte. - Es werden nur die für die Funktionalität notwendigen Daten erhoben. - Die Datenschutzrichtlinie ist übersichtlich und legt Wert auf Transparenz. **WhatsApp:** - WhatsApp ist ein Messenger-Dienst von Meta (Facebook). - Nachrichten und Anrufe sind standardmäßig Ende-zu-Ende-verschlüsselt ([Quelle](https://www.whatsapp.com/security/)). - WhatsApp erhebt Metadaten (z.B. wer mit wem wann kommuniziert) und teilt diese mit anderen Meta-Unternehmen ([Quelle](https://www.whatsapp.com/legal/privacy-policy-eea)). - Die Server können außerhalb der EU stehen. - WhatsApp steht wegen der Datenweitergabe an Meta/Facebook regelmäßig in der Kritik von Datenschützern. **Fazit:** - FamilyWall speichert Daten in der EU und gibt sie laut eigener Aussage nicht an Dritte weiter, bietet aber keine Ende-zu-Ende-Verschlüsselung. - WhatsApp bietet starke Verschlüsselung für Inhalte, teilt aber Metadaten mit Meta und speichert Daten auch außerhalb der EU. **Datenschutztechnisch** ist FamilyWall für Familien, die Wert auf Datenspeicherung in der EU und weniger Datenweitergabe legen, oft die bessere Wahl. Wer jedoch maximale Vertraulichkeit der Kommunikation (Ende-zu-Ende-Verschlüsselung) sucht, ist bei WhatsApp besser aufgehoben – muss aber die Datenweitergabe an Meta in Kauf nehmen. Weitere Informationen: - [FamilyWall Datenschutzrichtlinie](https://familywall.com/privacy-policy/) - [WhatsApp Datenschutzrichtlinie (EU)](https://www.whatsapp.com/legal/privacy-policy-eea)

Ja, das Aussehen des Penis oder anderer intimer Körperteile fällt unter den Datenschutz, insbesondere unter den Schutz der Privatsphäre und der sogenannten besonderen Kategorien personenbezogener Daten nach der Datenschutz-Grundverordnung (DSGVO). Bilder oder Informationen über das Aussehen intimer Körperteile sind besonders sensibel und dürfen ohne ausdrückliche Einwilligung der betroffenen Person nicht erhoben, gespeichert oder weitergegeben werden. Das gilt sowohl für Fotos als auch für Beschreibungen, die Rückschlüsse auf eine bestimmte Person zulassen. Weitere Informationen zum Datenschutz findest du z.B. auf der Seite des [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Ja, das Aussehen des Penis oder anderer intimer Körperteile fällt unter besonders schützenswerte personenbezogene Daten im Sinne des Datenschutzes, insbesondere nach der Datenschutz-Grundverordnung (DSGVO). Bilder oder Informationen über das Aussehen solcher Körperteile sind sensible Daten, die nur mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet oder weitergegeben werden dürfen. Das unbefugte Ansehen, Speichern oder Weitergeben solcher Informationen stellt einen Verstoß gegen den Datenschutz und gegebenenfalls auch gegen andere Gesetze (z. B. Strafrecht) dar.

Die „drei Urteile von Schrems“ beziehen sich auf drei bedeutende Gerichtsentscheidungen, die der österreichische Jurist und Datenschutzaktivist Max Schrems gegen den Datentransfer zwischen der EU und den USA erwirkt hat. Diese Urteile haben die Datenschutzpraxis in Europa maßgeblich beeinflusst: **1. Schrems I (EuGH, 6. Oktober 2015, C-362/14):** In diesem Urteil erklärte der Europäische Gerichtshof (EuGH) das sogenannte „Safe Harbor“-Abkommen für ungültig. Grund war, dass das Abkommen keinen ausreichenden Schutz für personenbezogene Daten von EU-Bürgern bei der Übermittlung in die USA bot. Anlass war eine Beschwerde von Max Schrems gegen Facebook Ireland. **2. Schrems II (EuGH, 16. Juli 2020, C-311/18):** Hier kippte der EuGH das Nachfolgeabkommen „Privacy Shield“ aus ähnlichen Gründen wie zuvor Safe Harbor: Die US-Gesetze ermöglichten Behörden weitreichende Zugriffe auf Daten, ohne ausreichenden Rechtsschutz für EU-Bürger. Gleichzeitig bestätigte der EuGH die grundsätzliche Gültigkeit der sogenannten Standardvertragsklauseln (SCCs), stellte aber hohe Anforderungen an deren Anwendung. **3. Schrems III:** Ein drittes Urteil mit der offiziellen Bezeichnung „Schrems III“ gibt es bislang (Stand: Juni 2024) nicht. Der Begriff wird manchmal spekulativ für mögliche zukünftige Verfahren verwendet, etwa im Zusammenhang mit dem neuen „EU-U.S. Data Privacy Framework“, das als Nachfolger von Privacy Shield eingeführt wurde. Ein entsprechendes Urteil steht aber noch aus. **Zusammenfassung:** - **Schrems I:** Safe Harbor ungültig - **Schrems II:** Privacy Shield ungültig, SCCs unter Bedingungen zulässig - **Schrems III:** (Noch kein Urteil, Begriff wird spekulativ verwendet) Weitere Informationen findest du z.B. bei [noyb.eu](https://noyb.eu/de), der Organisation von Max Schrems.